Групповые политики active directory установка программ

Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей. Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.

При помощи политики возможно:

• назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
• определять политики параметров пароля учетных записей, блокировку пользователей;
• распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
• выполнять набор настроек безопасности для удаленных машин;
• ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
• проводить настройку по распределению прав на доступ к файлам и папкам;
• настраивать перенаправление определенных папок из профиля пользователя.

Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.

Настройка AD GP: Как установить Google Chrome через Групповые политики

Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.

Управление групповых политик имеется только в профессиональных и серверных версиях Windows.

Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.

Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows. Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:

Редактирование групповых политик

Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:

После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.

В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:

Урок 12. Групповые политики Active Directory

Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.

Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:

Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:

Рекомендации по применению политик

Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.

Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.

В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.

Источник: efsol.ru

Служба каталогов Active Directory

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик ( Group Policy ) позволяет автоматизировать данный процесс управления. С помощью групповых политик ( ГП ) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик ( GPO, Group Policy Object ) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container ) хранящегося в БД Active Directory, и шаблона групповых политик ( GPT, Group Policy Template ), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%SYSVOLsysvol\Policies , и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика .

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD (» Active Directory – сайты и службы «, » Active Directory – пользователи и компьютеры «, локальная политика компьютера редактируется консолью gpedit.msc , запускаемой из командной строки). На рис. 6.47 показана закладка » Групповые политики » свойств домена world.ru . На данной закладке можно выполнить следующие действия:

• кнопка » Создать » — создать новый объект ГП;
• кнопка » Добавить » — привязать к данному объекту AD существующий объект ГП;
• кнопка » Изменить » — открыть редактор групповых политик для выбранного объекта ГП;
• кнопка » Параметры » — запретить перекрывание (поле » Не перекрывать «) параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле » Отключить «) данный объект ГП;
• кнопка » Удалить » — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;
• кнопка » Свойства » — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;
• поле » Блокировать наследование политики » — запретить применение политик, привязанных к более высоким уровням иерархии AD;
• кнопки » Вверх » и » Вниз » — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).

Рис. 6.47.

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

• локальная политика;
• политики сайта Active Directory;
• политики домена;
• политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых политик (см. рис. 6.47):

• блокировка наследования политик на каком либо уровне иерархии AD;
• запрет блокировки конкретного объекта групповых политик;
• управление приоритетом применения политик на конкретном уровне AD (кнопками » Вверх » и » Вниз «);
• разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП » Чтение » и » Применение групповой политики «).

Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами » secedit /refreshpolicy machine_policy » и » secedit /refreshpolicy user_policy » (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.

Управление приложениями

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.

Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.

Используются следующие способы управления установкой приложений:

• назначение приложений компьютерам (при данном способе приложение, назначенное компьютеру, автоматически устанавливается при загрузке компьютера);
• назначение приложений пользователям (приложение устанавливается при первом вызове данного приложения — при открытия ярлычка приложения или файла, соответствующего данному приложению);
• публикация приложений пользователям (название приложения добавляется к списку доступных для установки программ в окне » Установка и удаление программ » в Панели управления ).

С помощью политик можно управлять установкой приложений, которые устанавливаются с помощью компоненты Windows Installer, т.е. для них установочный пакет должен быть создан в формате файла с расширением » .msi «. Если приложение можно установить только с помощью установочной программы типа setup.exe или install.exe , то такие приложения могут быть опубликованы (но не назначены) после создания файла типа » . zap «, в котором заданны соответствующие параметры, необходимые для публикации средствами ГП.

Рассмотрим на примерах процессы назначения и публикации приложений.

Пример 1. Назначение пакета Group Policy Management Console (» Консоль управления групповыми политиками «) всем компьютерам домена world.ru .

1. Откроем закладку » Групповые политики » свойств домена. Создадим новый объект ГП с именем » GPMC » (рис. 6.48).

Источник: intuit.ru

Групповые политики Active Directory и их настройки

Возможности ОС Windows позволяют осуществлять эффективное управление компьютерными сетями. Это может касаться аспектов контроля доступа пользователей к тем или иным ресурсам, а также обеспечения безопасности обмена данными. В числе самых удобных и функциональных инструментов решения подобных задач — задействование групповых политик.

В ОС Windows предусмотрена особая программная среда для управления ими — Active Directory. В чем ее специфика? Каким образом осуществляется настройка Active Directory?

Что такое групповая политика?

Под термином «групповая политика» принято понимать совокупность правил, по которым осуществляется настройка пользовательской среды в ОС Windows. Главное ее примечательное свойство — возможность настраивать различные параметры на разных ПК одновременно, по единым стандартам и принципам.

Фиксируется она на конкретном домене. Принцип применения групповой политики — иерархический. Основной канал вертикальной реализации, предусмотренный в Windows, — это каталог Active Directory. Группы тех или иных компьютеров или пользователей управляются, исходя из алгоритмов, принимаемых на уровне корпоративной политики в сфере безопасности и контроля доступа к ПК.

В рамках среды Active Directory создаются две основные политики, а именно Default Domain Policy, имеющая отношение непосредственно к домену, а также Default Domain Controller’s Policy, которая отвечает за соответствующего типа контроллер.

Особенности Active Directory

Групповые политики Active Directory причисляются к самым удобным вариантам настройки ПК и пользовательских сред в компьютерных сетях, работающих под управлением Windows. Задействуя данный инструмент, компания может осуществлять эффективный контроль над работой сети, поддерживать производительность инфраструктуры, повышать степень защищенности корпоративной информации.

Особенность Active Directory — это, как мы отметили выше, иерархическая структура соответствующей программной среды. Основные ее элементы — объекты. В свою очередь, их можно классифицировать на различные категории. В числе базовых – ресурсы (таковыми могут быть, например, принтеры и иная офисная техника), программные службы (например, интерфейсы обмена электронными сообщениями), а также учетные записи сотрудников компании и идентификационные данные о компьютерах. Программная среда Active Directory может предоставлять системному администратору сведения о тех или иных объектах, осуществлять управление ими, задавать критерии, касающиеся доступа к ним.

Объекты, которые являются основными компонентами групповых политик, могут вмещать в себя дополнительные элементы. Это могут быть, например, группы безопасности. Объект характеризуется рядом уникальных признаков — именем, совокупностью атрибутов (например, типов данных, которые он включает в себя). Можно отметить, что свойства атрибутов, о которых идет речь, фиксируются в схемах, определяющих специфику тех или иных объектов.

Критерии реализации групповой политики

Для того чтобы у компании была возможность задействовать все преимущества, которые дают групповые политики Active Directory, инфраструктура принадлежащей ей компьютерной сети должна соответствовать ряду критериев. В числе базовых:

• сеть должна функционировать на базе служб Active Directory (их присутствие необходимо хотя бы на главном сервере);
• ПК, находящиеся в структуре сети и в отношении которых будет осуществляться контроль пользовательских сред, должны работать под одним доменом, а сотрудники, в свою очередь, — использовать в работе идентификационные данные, привязанные к нему;
• системные администраторы должны обладать всеми необходимыми полномочиями для внедрения принципов групповой политики в корпоративной сети.

Рассмотрим теперь то, каким образом осуществляется управление групповыми политиками, а также их настройка.

Инструменты управления групповыми политиками и их настройки

В ОС Windows для решения задачи, о которой идет речь, можно использовать соответствующую консоль. Как ее запустить? Нужно нажать на «Пуск», затем перейти в меню «Все программы», выбрать «Администрирование», после — «Управление групповыми политиками».

Настройка Active Directory осуществляется посредством редактирования параметров групповой политики, которые непосредственным образом связаны с ее объектами. Они, в свою очередь, могут управляться непосредственно с помощью консоли, о которой идет речь. Рассмотрим наиболее значимые с точки зрения практики работы с групповыми политиками интерфейсы данного программного компонента.

Объекты Active Directory можно увидеть в главном окне консоли. Примеры таковых: Accounting Security (отвечает за безопасность), а также отмеченные выше ключевые объекты политики, касающиеся домена и его контроллера. Можно заметить, что Default Domain Policy задается по умолчанию и включает в себя параметры, актуальные для всех ПК и пользователей в рамках конкретного домена. В свою очередь, политика Default Domain Controller Policy имеет непосредственное отношение только к контроллерам.

Управление параметрами

Рассмотрим, каким образом может осуществляться настройка Active Directory на практике. Для того чтобы внести те или иные корректировки в соответствующие параметры, необходимо задействовать специализированный редактор. Чтобы сделать это, нужно щелкнуть правой кнопкой мыши на опции «Управление групповыми политиками», а затем выбрать пункт «Править».

После этого можно выставлять нужные параметры. Примечательно, что соответствующая программа Active Directory, реализованная в интерфейсах Windows, сохраняет настройки автоматически. То есть после того как пользователь выставит необходимые параметры, они тут же зафиксируются в системе.

Ключевые параметры

В каких разделах интерфейса консоли содержатся ключевые параметры, влияющие на групповые политики Active Directory? В числе таковых — папки Computer Configuration, а также User Configuration. В первой содержатся параметры, которые актуальны для всех ПК, подключенных к корпоративной сети.

Неважно, какие именно сотрудники пользуются Active Directory. Авторизация под конкретным логином в данном случае второстепенна. Как правило, в интерфейсе Computer Configuration фиксируются настройки безопасности. В папке User Configuration определяются параметры, применяемые, в свою очередь, к конкретным сотрудникам. Неважно, на каком именно компьютере они собираются работать.

Рассмотрим другие ключевые параметры, которые может задействовать системный администратор, осуществляющий управление Active Directory. Например, в папке Policies располагаются настройки, которые в целом отвечают за групповую политику. В папке Preferences фиксируются параметры, имеющие отношение к предпочтительным настройкам компьютера. Они могут затрагивать самые разные компоненты операционной системы — реестр, файлы, папки. Данная область настроек, к слову, может использоваться не только как инструмент настройки групповой политики, но и для управления иного типа функциями Windows.

Административные шаблоны

В числе наиболее примечательных компонентов, которые включает в себя служба Active Directory, нужно упомянуть административные шаблоны. Что они представляют собой? Это параметры групповой политики, фиксируемые в особых разделах реестра. Их отличительная особенность в том, что они не могут быть изменены пользователем, имеющим стандартные права. Однако если те или иные программы Windows, имеющие отношение к функциям групповых политик, обнаруживают их в реестре, то выполняют в первую очередь инструкции, заложенные в них.

Нюансы редактирования параметров политики

Каковы наиболее важные нюансы, которые характеризуют такую процедуру, как настройка групповых политик Active Directory? Специалисты рекомендуют обращать особое внимание на сущность конкретных параметров с точки зрения их активизации или, наоборот, отключения.

В некоторых случаях тот факт, что та или иная политика не функционирует, вовсе не обязательно будет означать, что релевантные ей процессы также дезактивируются, и наоборот. Вся необходимая информация касательно тех или иных параметров политик обычно фиксируется в сопровождающем их справочном текстовом сообщении. Ряд параметров при этом имеет дополнительные опции. Их специфика, как правило, также разъясняется в справках.

Подробное изучение соответствующих данных — главное условие того, чтобы администратором не была допущена случайная ошибка. Active Directory — это программная среда с большим количеством элементов, отвечающих за ключевые параметры безопасности и устойчивости сети. Специалист, ответственный за работу с ней, должен проявлять необходимый уровень компетентности в части управления групповыми политиками.

Практика работы с объектами политики: создание элементов

Перейдем от теории к практическим нюансам, касающимся работы с групповыми политиками. Так, в числе самых распространенных задач системных администраторов — создание соответствующего типа объектов. Рассмотрим, каким образом это происходит.

Для того чтобы создать объект групповой политики, необходимо открыть консоль управления, о которой мы упоминали выше. Системный администратор, работая с соответствующего типа элементами, может использовать методологию одновременного их создания и связывания или же применить последовательный подход. В среде специалистов по работе с компьютерными сетями достаточно распространен первый сценарий. Рассмотрим его особенности.

Для того чтобы осуществить одновременное создание и связывание соответствующего объекта, необходимо произвести следующие основные действия.

Во-первых, открыв консоль, щелкнуть правой кнопкой мыши на домене, после чего выбрать пункт, отражающий желание создать объект, и связать его.

Во-вторых, необходимо описать соответствующий объект, введя нужный текст в форму «Имя», расположенную в окне «Новый объект».

В принципе, это все, что требуется сделать. Вместе с тем может возникнуть необходимость в корректировке настроек объекта. Это также делается с помощью инструментов консоли.

Редактирование элементов

Так, для того чтобы изменить настройки объекта, необходимо произвести следующие действия.

Во-первых, щелкнуть на соответствующем объекте – так, чтобы справа, в окне интерфейса консоли, элементы данного типа отобразились. Другой вариант — выбрать домен, после чего объекты аналогичным образом станут доступными для просмотра.

Во-вторых, в правой части интерфейса консоли необходимо щелкнуть правой кнопкой мышки на объекте политики, который нужно отредактировать, и выбрать опцию «Править». После этого соответствующий элемент откроется в редакторе, который входит в структуру консоли.

В-третьих, с помощью соответствующего интерфейса можно внести необходимые правки в групповые политики Active Directory. Изменения, как мы отметили выше, фиксируются автоматически.

Рассмотрим другой сценарий, при котором создание и связывание объекта осуществляются на разных этапах. Также может потребоваться проведение данной процедуры, если по каким-либо причинам изначальная связь между соответствующими параметрами была разорвана.

Для того чтобы связать объект с тем или иным доменом, необходимо произвести следующие действия.

Во-первых, нужно щелкнуть правой клавишей мыши на домене, с которым требуется осуществить связывание объекта, и выбрать соответствующий пункт.

Во-вторых, нужно щелкнуть на соответствующем элементе, который отображается в окне «Выбор объекта», после чего подтвердить осуществление связывания.

Также при необходимости можно отвязать объект от соответствующего домена. Для этого необходимо произвести следующие действия.

Во-первых, нужно в интерфейсе консоли управления щелкнуть на домене, который уже связан с объектом.

Во-вторых, необходимо щелкнуть правой кнопкой мышки на соответствующем объекте, после чего выбрать опцию «Удалить».

В-третьих, в окне, с помощью элементов которого осуществляется управление политиками, нужно подтвердить действие.

Восстановление элементов

В ряде случаев может потребоваться особая процедура работы с объектами групповой политики — восстановление. Active Directory — программная среда, в которой происходит большое количество процессов, при этом могут возникать ситуации, при которых объекты по каким-либо причинам удаляются. Однако всегда есть шанс восстановления их предыдущих версий из резервных копий, существующих в системе.

Инструменты, необходимые для решения соответствующей задачи, также присутствуют в консоли, которую мы сегодня исследуем. С их помощью можно осуществить восстановление как одного, так и нескольких объектов соответствующего типа за счет резервных копий, располагающихся в специальной папке.

Последовательность действий пользователя в ходе решения данной задачи может выглядеть так.

Во-первых, необходимо в главном интерфейсе консоли щелкнуть на папке «Объекты групповой политики». После этого на экране отобразятся соответствующие элементы.

Во-вторых, необходимо щелкнуть правой кнопкой мышки на папке «Объекты групповой политики», после чего выбрать опцию «Управление резервными копиями».

В-третьих, необходимо выбрать место, где располагается резервная копия соответствующих настроек, с помощью специального списка, доступного в диалоговом окне интерфейса. Можно также использовать кнопку «Обзор», после чего вручную выбрать папку, в которой находятся нужные файлы.

После проведения соответствующих операций необходимо обратить внимание на список «Резервные копии». Там будут отображаться доступные для восстановления элементы. Необходимо выбрать нужные. После этого — нажать на кнопку, которая запустит процесс восстановления. Возможно, доступными окажутся несколько версий объекта.

В этом случае полезно будет использовать специальный флажок, с помощью которого задается отображение на экране интерфейса только самых свежих резервных копий объектов групповой политики.

Далее нужно проверить то, насколько успешно осуществлена операция (в диалоговом окне отобразятся необходимые сведения), после чего нажать на кнопку «OK». Так осуществляется восстановление Active Directory в части удаленных объектов соответствующей системы управления корпоративной компьютерной сетью.

Источник: fb.ru